黃 興，張愛清，葉新榮，謝小娟

(安徽師范大學(xué) 物理與電子信息學(xué)院 ，安徽 蕪湖 241000)

基于廣播簽密的數(shù)據(jù)安全傳輸方案研究

黃 興，張愛清，葉新榮，謝小娟

(安徽師范大學(xué) 物理與電子信息學(xué)院 ，安徽 蕪湖 241000)

近年來，隨著科技的飛速發(fā)展，高科技犯罪也愈加普遍，但目前還沒有基于信息技術(shù)下追捕罪犯方法的研究。為了解決上述問題，提出了一個(gè)警察抓小偷的模型并對模型進(jìn)行了分析，然后針對該模型提出了一個(gè)基于無證書廣播簽密技術(shù)的方案，并對其進(jìn)行了安全性分析和性能分析。該方案可抵抗惡意且被動的KGC攻擊，保證了數(shù)據(jù)的機(jī)密性和認(rèn)證性，無需雙線性對操作，簡單高效。

密碼學(xué)；無證書；廣播簽密；無雙線性對

0 引言

隨著社會科學(xué)、文化、經(jīng)濟(jì)的高速發(fā)展，犯罪率也居高不下，導(dǎo)致國家和個(gè)人利益的嚴(yán)重?fù)p失。雖然國家法律制度日益完善，但是仍有很多不法分子鋌而走險(xiǎn)。為了將犯罪分子繩之以法，傳統(tǒng)的抓捕方式在信息化時(shí)代下暴露出許多缺點(diǎn)，且成本和難度日益增加，比如說警員之間對話內(nèi)容的保密性不能被保證，無法及時(shí)傳達(dá)上級消息及實(shí)施方案等。顯然，以上任何缺點(diǎn)都可能導(dǎo)致一次抓捕行動的失敗，導(dǎo)致更多人的利益受到威脅。因此，需要設(shè)計(jì)一個(gè)協(xié)議保證警方在行動過程中信息的保密性和實(shí)時(shí)性，以保證各個(gè)成員間安全高效的通信。然而，關(guān)于上述問題的研究工作非常有限。

設(shè)計(jì)了一個(gè)基于無證書廣播簽密的數(shù)據(jù)安全傳輸協(xié)議來實(shí)現(xiàn)安全目標(biāo)。數(shù)據(jù)提供者首先對需要在合法用戶間傳遞的數(shù)據(jù)進(jìn)行簽名，同時(shí)，數(shù)據(jù)發(fā)送者對該數(shù)據(jù)進(jìn)行進(jìn)一步簽名，以確保數(shù)據(jù)傳輸?shù)牟豢傻仲囆?。采用無雙線性對的廣播簽密算法以保證數(shù)據(jù)安全接收的時(shí)效性。為了保證時(shí)間和能源效率，采用對稱加密算法來保護(hù)原始信息不被泄露。最后，利用廣播簽密來保證所有成員能第一時(shí)間收到數(shù)據(jù)以達(dá)到高效性。

1 相關(guān)工作

1.1 無證書簽密

簽密是Y.Zheng[1]在1997年提出的一種新穎的密碼體制，其基本思想是，在一個(gè)操作步驟內(nèi)同時(shí)完成加密和簽名的雙重功能，能夠同時(shí)保證信息的機(jī)密性和完整性等安全目標(biāo)。簽密機(jī)制可以有效減少加密與簽名的總計(jì)算量。

傳統(tǒng)公鑰密碼(Public key cryptography)體制主要有3種：基于證書的公鑰體制、基于身份的公鑰體制和無證書的公鑰體制?；谧C書的公鑰體制由證書授權(quán)(Certificate Authority，CA)頒發(fā)證書進(jìn)行公鑰認(rèn)證，該方案在實(shí)際應(yīng)用中暴露出證書產(chǎn)生、管理、驗(yàn)證等過程復(fù)雜且代價(jià)高等缺點(diǎn)。隨后，Shamir[2]于1984年提出的由PKG產(chǎn)生用戶私鑰的基于身份的公鑰體制雖然沒有證書管理的問題，但面臨密鑰托管問題。2003年，在亞密會上Al-Riyami和Paterson第一次提出了無證書公鑰密碼學(xué)[3]。在無證書密碼體系中，需要一個(gè)可信的秘鑰生成中心KGC來完成系統(tǒng)初始化和生成用戶的部分公鑰與部分私鑰，然后用戶隨機(jī)選取一個(gè)秘密值生成另一部分私鑰。由于KGC 僅知道用戶的部分密鑰，避免了基于身份密碼體制中的密鑰托管問題。近年來，陸續(xù)有國內(nèi)外學(xué)者提出許多無證書加密方案，但是均面臨保密性差、通信效率低等不同問題[4-5]。2011年，劉文浩[6]等人提出了一個(gè)無雙線性配對的無證書簽密方案，是目前無證書簽密方案中計(jì)算復(fù)雜度最低的。

1.2 廣播加密

廣播加密的概念最先由 Fiat 和 Naor 提出[7]，在廣播加密系統(tǒng)中，涉及一個(gè)發(fā)送者和多接收者。發(fā)送者首先加密要發(fā)送的內(nèi)容，然后通過不安全的廣播信道發(fā)送給動態(tài)改變的用戶集，只有通過授權(quán)的合法用戶才可以解密并獲得明文，比如付費(fèi)電視系統(tǒng)等。廣播加密確保只有授權(quán)的用戶能夠解密密文，而未授權(quán)的用戶無法獲取數(shù)據(jù)。廣播簽密同簽密有相似的地方，即在一個(gè)邏輯步驟內(nèi)，對信息同時(shí)進(jìn)行簽名和加密，因此也可以確保數(shù)據(jù)安全和完整性。由于廣播加密具有高效的數(shù)據(jù)傳輸特點(diǎn)，現(xiàn)已成為國內(nèi)外學(xué)者關(guān)注的熱點(diǎn)，大量的廣播加密方案相繼被提出[8-14]。但是很多方案存在著明顯的不足，比如說文獻(xiàn)[14]計(jì)算復(fù)雜度高且通信開銷大，文獻(xiàn)[9]只能保證前向安全性但不能保證后向安全性等。

針對上述問題，基于參考文獻(xiàn)[6]所提出的簽密方案，提出一種新的無證書廣播簽密方案，并基于該方案設(shè)計(jì)了一個(gè)數(shù)據(jù)安全傳輸協(xié)議。該方案無需雙線性對操作，同時(shí)利用廣播通信來實(shí)現(xiàn)多接收者同時(shí)接收數(shù)據(jù)的目的。

2 模型分析

下面給出一個(gè)警匪場景中基于信息技術(shù)的警察抓罪犯的應(yīng)用場景，對本場景的具體描述如下：首先，可信中心登記警員與管理員；出警前，確定抓捕方案，管理員對警員安排抓捕任務(wù)，然后前往目的地執(zhí)行方案。在這里，伴隨著各種不確定性，本文考慮了一些突發(fā)狀況，例如在執(zhí)行任務(wù)過程中，需要更改方案。此時(shí)，管理員需要將新方案發(fā)送到警員所攜帶的通信設(shè)備上；而且，在執(zhí)勤過程中需要一個(gè)安全的通信環(huán)境。本節(jié)首先給出了系統(tǒng)模型，隨后給出了威脅模型和安全目標(biāo)。

2.1 系統(tǒng)模型

在本系統(tǒng)中，為了上級消息能夠?qū)崟r(shí)地傳達(dá)給警員，也為了警員在執(zhí)勤過程中數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性與保密性，該系統(tǒng)由一個(gè)可信中心(Trust authority ，TA)、管理員(administrator)、基站和攜帶通信設(shè)備的下級警員(UE)組成，如圖1所示。

圖1 系統(tǒng)模型圖

其中，各個(gè)組成部分的功能描述如下：

TA：可信中心TA被系統(tǒng)中的所有組成部分所信任且負(fù)責(zé)登記管理員、出警警員與其所使用的通信設(shè)備。一般來說，TA具有足夠的儲存能力而且不會被任何敵手所俘獲。

eNB：基站eNB是連接TA和UE的基礎(chǔ)設(shè)施。它主要負(fù)責(zé)將警局發(fā)布的任務(wù)和計(jì)劃實(shí)時(shí)、安全地發(fā)送給執(zhí)勤警員所攜帶的通信設(shè)備。在本系統(tǒng)中，eNB作為一個(gè)信任機(jī)構(gòu)，不僅具有很高的存儲容量，而且還具有較強(qiáng)的計(jì)算能力。

UE：下級警員配備的通信設(shè)備，用于執(zhí)勤過程中實(shí)時(shí)接收上級信息，采取相應(yīng)行動。UE安全性較低，易被敵手俘獲。

管理員：管理員在該系統(tǒng)中擔(dān)當(dāng)信息源的角色，負(fù)責(zé)對執(zhí)勤警員發(fā)布實(shí)施方案。一般來說，管理員作為一個(gè)半可信機(jī)構(gòu)也不會被敵手俘獲。

2.2 威脅模型

在管理員發(fā)送的數(shù)據(jù)到達(dá)警員之前，要經(jīng)過中繼傳輸，因此數(shù)據(jù)面臨著被暴露的風(fēng)險(xiǎn)，嚴(yán)重的話會影響任務(wù)的順利執(zhí)行。具體來說，數(shù)據(jù)在信道中傳輸安全性較低，容易被對手?jǐn)r截或者篡改，導(dǎo)致警員無法接收或接收到錯(cuò)誤的任務(wù)指令。另一方面，對手也可能通過事先在執(zhí)勤區(qū)域內(nèi)安裝接收器，竊聽警員之間的對話信息，使對手采取針對性的措施躲避追捕。

2.3 安全目標(biāo)

基于所給定的系統(tǒng)模型和威脅模型，本系統(tǒng)需要實(shí)現(xiàn)以下安全目標(biāo)：

身份認(rèn)證：實(shí)體身份認(rèn)證要求消息發(fā)送和接收者之間相互驗(yàn)證身份的合法性和真實(shí)性。

不可否認(rèn)性、抗抵賴性：用戶不能否認(rèn)自己發(fā)送信息的行為和信息的內(nèi)容，能夠檢測出惡意用戶。

數(shù)據(jù)機(jī)密性與完整性：數(shù)據(jù)機(jī)密性保證數(shù)據(jù)在傳播過程中即使被竊聽也不能被解密，數(shù)據(jù)完整性保證數(shù)據(jù)沒有被篡改。

數(shù)據(jù)實(shí)時(shí)性：保證數(shù)據(jù)在更新后能夠?qū)崟r(shí)傳播至警員。

2.4 數(shù)據(jù)安全傳輸協(xié)議

在這部分內(nèi)容中，使用無證書廣播簽密方案來實(shí)現(xiàn)用戶之間共享數(shù)據(jù)的安全性和可用性。數(shù)據(jù)安全傳輸協(xié)議如圖2所示，具體協(xié)議流程如下：

步驟1：系統(tǒng)初始化。

步驟2：秘鑰生成。

① 可信中心TA為系統(tǒng)用戶生成部分秘鑰。假設(shè)管理員和警員的身份分別表示為ID0和IDi，i=1,2,3,…,n。

③ KGC隨機(jī)選擇ri，計(jì)算Ri=riP，h1=H1(IDi,Ri,Xi,Y)，計(jì)算Di=ri+zh1，其中，Ri作為用戶的部分公鑰，Di作為用戶的部分私鑰。

④ 用戶IDi的私鑰SKi=(xi,Di)，公鑰PKi=(Xi,Ri)。

步驟3：數(shù)據(jù)形成與發(fā)送。

計(jì)算h2=H2(a,m,ID0,L)，h3=H3(m,a,h2,PK0,ID0,L)。

計(jì)算ZS=a/(x0+D0+h2)。

計(jì)算c=H4(h2,ID0,L) ?(m‖a)。

對IDi∈L,i=1,2,...n，管理員重復(fù)以下步驟：

計(jì)算VS=a(Ri+Xi+h1Y)。

步驟4：數(shù)據(jù)接收。

正確性證明：

?m′=m

圖2 基于廣播簽密的數(shù)據(jù)傳輸協(xié)議

3 安全性分析

在本節(jié)中，詳細(xì)分析所設(shè)計(jì)的無證書廣播簽密方案在所給定的系統(tǒng)模型和威脅模型下，如何實(shí)現(xiàn)所設(shè)定的安全目標(biāo)，包括：實(shí)體身份認(rèn)證、不可否認(rèn)性、數(shù)據(jù)保密性與實(shí)時(shí)性。

① 實(shí)體身份認(rèn)證。在系統(tǒng)中，警員UE和管理員是事先經(jīng)過可信中心TA注冊登記的。發(fā)送者利用接收者公鑰加密，而接收者利用發(fā)送者的簽名ZS來驗(yàn)證發(fā)送者身份，并用自己的私鑰來完成解密，完成解密的同時(shí)完成對接收者身份的認(rèn)證。

② 不可否認(rèn)性。所設(shè)計(jì)的協(xié)議能夠?qū)崿F(xiàn)發(fā)送不可否認(rèn)性。發(fā)送者的簽名ZS可以保證發(fā)送者不能否認(rèn)其向接收者發(fā)送數(shù)據(jù)的事實(shí)。

③ 數(shù)據(jù)保密性與完整性。在數(shù)據(jù)傳輸過程中，是利用接收者公鑰加密后以密文δ在信道中傳輸?shù)?，竊聽者無法在沒有接收者私鑰的情況下解密密文。而私鑰是由TA和用戶自身共同生成的，對于敵手來說，即使其俘獲了接收用戶，由于沒有通過TA認(rèn)證，無法獲得另一部分私鑰，所以無法解密密文，這樣保證了數(shù)據(jù)的機(jī)密性。同時(shí)，數(shù)據(jù)的完整性由簽名ZS保護(hù)，因此，可以通過驗(yàn)證ZS的有效性來判斷數(shù)據(jù)的完整性。

④ 數(shù)據(jù)實(shí)時(shí)性。所設(shè)計(jì)的協(xié)議在保證安全性的前提下盡可能地減小計(jì)算復(fù)雜度，本協(xié)議巧妙地避免了指數(shù)運(yùn)算、雙線性計(jì)算，以此提高計(jì)算效率。

4 性能分析

本節(jié)將本文方案與與現(xiàn)有幾個(gè)廣播簽密方案在計(jì)算開銷(包括預(yù)計(jì)算開銷)方面進(jìn)行比較。由于雙線性對、指數(shù)運(yùn)算和橢圓曲線上的點(diǎn)乘運(yùn)算占據(jù)了大部分計(jì)算開銷，在比較各方案的開銷時(shí)只考慮這幾個(gè)運(yùn)算。用te表示一個(gè)指數(shù)運(yùn)算的運(yùn)行時(shí)間，tm表示一個(gè)橢圓曲線上點(diǎn)乘運(yùn)算的運(yùn)行時(shí)間，tp表示一個(gè)雙線性對運(yùn)算的運(yùn)行時(shí)間。 由表1可以看出，本文所提出的方案與其他簽密方案相比，在計(jì)算效率方面有比較明顯的優(yōu)勢(表1中用n表示用戶數(shù))。

表1 計(jì)算復(fù)雜度比較

方案簽密解簽密文獻(xiàn)[16]n-1()tm+n+1()ten+2()tm+2tp文獻(xiàn)[15]n+3()tm+ten+1()tm+3tp文獻(xiàn)[14]n+2()tm+2ten+2()tm+2tp本文方案ntm+2tmntm

5 結(jié)束語

本文設(shè)計(jì)了基于信息技術(shù)的警匪場景下數(shù)據(jù)安全傳輸協(xié)議，綜合考慮本場景特點(diǎn)和安全需求，所設(shè)計(jì)的協(xié)議能夠在不需要額外硬件的情況下實(shí)現(xiàn)所需安全目標(biāo)。具體來說，利用數(shù)字簽名以確保數(shù)據(jù)傳輸?shù)牟豢傻仲囆院驼J(rèn)證性，用廣播加密算法來保護(hù)原始信息不被泄露。此外，安全分析和性能分析表明，所設(shè)計(jì)的協(xié)議能夠較好地實(shí)現(xiàn)系統(tǒng)安全目標(biāo)，實(shí)現(xiàn)數(shù)據(jù)實(shí)時(shí)、安全的傳輸，對無線傳感器網(wǎng)絡(luò)研究領(lǐng)域的應(yīng)用于研究具有重要意義。

[1] Zheng Y. Digital Signcryption or How to Achieve Cost(Signature & Encryption) ? Cost(Signature) + Cost(Encryption)[M]∥Advances in Cryptology‐CRYPTO'97. Springer Berlin Heidelberg,1997:165-179.

[2] Shamir A. Identity-Based Cryptosystems and Signature Schemes[M]∥Advances in Cryptology. Springer Berlin Heidelberg,1984:47-53.

[3] Al-Riyami S S,Paterson K G. Certificateless Public Key Cryptography[M]∥ Advances in Cryptology-ASIACRYPT 2003. Springer Berlin Heidelberg,2003:452-473.

[4] Aranha D,Castro R,López J,et al. Efficient Certificateless Signcryption[C]∥ 8th Brazilian Symposium on Information and Computer Systems Security (SBSEG 2008),2008:279-286.

[5] Wu C H, Chen Z X. A New Efficient Certificateless Signcryption Scheme[C]∥Proc. of ISISE,2008:661-664.

[6] 劉文浩,許春香. 無雙線性配對的無證書簽密方案[J]. 軟件學(xué)報(bào),2011,22(8):1918-1926.

[7] FIAT A,NAOR M.Boradcast Eneryption[C]∥Proceedings of the 13th Annual International Cryptology Conference on Advancesin Cryptology.New York:Springer-Verlag,1993:480-491．

[8] 譚作文,劉卓軍,肖紅光. 一個(gè)安全公鑰廣播加密方案(英文)[J]. 軟件學(xué)報(bào),2005,16(7):1333-1343.

[9] Ren Y, Gu D. Fully CCA2 Secure Identity Based Broadcast Encryption without Random Oracles[J]. Information Processing Letters,2009,109(11):527-533.

[10]Barbosa M,Farshim P. Efficient Identity-Based Key Encapsulation to Multiple Parties[C]∥ Cryptography and Coding. Springer Berlin Heidelberg,2005,3796:428-441.

[11]Selvi S S D,Vivek S S,Rangan C P. A Note on the Certificateless Multi-receiver Signcryption Scheme[J]. Iacr Cryptology Eprint Archive,2009:1336-1350.

[12]Zhang L,Hu Y,Mu N. An Identity-based Broadcast Encryption Protocol for Ad Hoc Networks[C]∥Young Computer Scientists,2008. Icycs 2008. the,International Conference for. IEEE,2008:1619-1623.

[13]Bellare M,Waters B,Yilek S. Identity-Based Encryption Secure against Selective Opening Attack[C]∥ Conference on Theory of Cryptography. Springer-Verlag,2011:321-334.

[14]Selvi S S D,Vivek S S,Gopalakrishnan R,et al. Provably Secure ID-Based Broadcast Signcryption (IBBSC) Scheme[DB/OL].http:∥ eprint.iacr.org/2008/225.

[15]Selvi S S D,Vivek S S,Gopalakrishnan R,et al. Cryptanalysis of Mu et al.'s and Li et al.'s Schemes and a Provably Secure ID-Based Broadcast Signcryption (IBBSC) Scheme[J]. Information Security Applications,2008,5379:115-129.

[16]Kim I T,Hwang S O. AnEfficient Identity-based Broadcast Signcryption Scheme for Wireless Sensor Networks[C]∥ International Symposium on Wireless and Pervasive Computing,2011:1-6.

Research on Secure Data Transmission Scheme Based on Broadcast Signcryption

HUANG Xing,ZHANG Ai-qing,YE Xin-rong，XIE Xiao-juan

(College of Physics and Electronic Information,Anhui Normal University,Wuhu Anhui 241000,China)

With the rapid development of science and technology,high-tech crime has increased quickly in recent years. Up to this time,there is limited research on the method of capturing crime based on information technology. In order to address this problem,a scheme based on certificateless broadcast signcryption is proposed in this paper. The scheme can resist malicious-but-passive key generation center (KGC) attacks,and ensure the confidentiality and authentication of data. As this scheme eliminates bilinear pairing operation,it is simple and efficient.

cryptography;certificateless;broadcast signcryption;without bilinear pairing

10. 3969/j.issn. 1003-3114. 2017.04.05

黃興,張愛清,葉新榮,等. 基于廣播簽密的數(shù)據(jù)安全傳輸方案研究[J].無線電通信技術(shù),2017,43(4):18-21，34.

[ HUANG Xing,ZHANG Aiqing,YE Xinrong,et al. Research on Secure Data Transmission Scheme Based on Broadcast Signcryption [J]. Radio Communications Technology,2017,43(4):18-21,34. ]

2016-02-09

國家自然科學(xué)基金項(xiàng)目(61601005)；安徽省高等學(xué)校省級自然科學(xué)研究項(xiàng)目(KJ2015A105,KJ2015A092)；安徽省自然科學(xué)基金(1608085QF138)；安徽省高校優(yōu)秀青年人才計(jì)劃支持重點(diǎn)項(xiàng)目(gxyqZD2016027)；安徽師范大學(xué)博士科研啟動基金(2014bsqdjj38)；安徽師范大學(xué)創(chuàng)新基金(2015cxjj16)

黃 興(1992—)，男，碩士研究生，物聯(lián)網(wǎng)技術(shù)專業(yè)，主要研究方向：無線傳感器網(wǎng)絡(luò)安全。張愛清(1982—)，女，副教授/博士，碩士生導(dǎo)師，主要研究方向:D2D通信、信息安全。

TP391.4

A

1003-3114(2017)04-18-4